PostgreSQL サーバ ポリシー ストアを設定する方法

目次
casso127jpjp
目次
前提条件の確認
  • データを含んでいる PostgreSQL データベース インスタンスが、ポリシー サーバ システムからアクセス可能であることを確認してください。
  • データ ストア用のデータベース インスタンスを作成します。
    例:
    smdatastore
  • データベース インスタンスでは、大文字小文字を区別する必要があります。
PostgreSQL データベース情報の収集
ポリシー ストアまたは他のタイプのデータ ストアとして機能するように単一の PostgreSQL サーバ データベースを設定するには、特定のデータベース情報が必要です。
ポリシー ストアまたはデータ ストアを設定する前に、以下の情報を収集します。
  • データベース インスタンス名
    ポリシー ストアまたはデータ ストアとして機能するデータベース インスタンスの名前を決定します。
  • 管理アカウントの名前とパスワード
    データベース内のオブジェクトに対して作成、読み取り、変更、削除の権限があるアカウントのユーザ名とパスワードを決定します。
  • データ ソース名
    データ ソースの識別に使用する名前を決定します。
    例:
    SM PostgreSQL Server Wire DS
  • PostgreSQL サーバ名
    ポリシー ストアとして機能するインスタンスを含む PostgreSQL サーバ データベースの名前を決定します。
  • ポリシー サーバ ルート
    ポリシー サーバがインストールされる場所への明確なパスを指定します。
  • [IP Address]
    PostgreSQL サーバ データベースの IP アドレスを指定します。
PostgreSQL 用のスキーマの作成
SQL Server データベースにポリシー、キー、セッション、および監査ログ情報を格納できるように、スキーマを作成します。
以下の手順に従います。
  1. PostgreSQL クライアントを起動し、ポリシー サーバ データベースの管理者としてログインします。
  2. [データベース]リストからデータベース インスタンスを選択します。
  3. テキスト エディタで
    policy_server_home
    /db/SQL/sm_postgresql_ps.sql を開き、ファイル全体の内容をコピーします。
  4. sm_postgresql_ps.sql からスキーマをクエリに貼り付け、クエリを実行します。
    ポリシーおよびキー ストア スキーマがデータベースに追加されます。
  5. テキスト エディタで
    policy_server_home
    /xps/db/PostgreSQL.sql を開き、ファイル全体の内容をコピーします。
  6. PostgreSQL.sql からスキーマをクエリに貼り付け、クエリを実行します。
    ポリシー ストア スキーマが拡張されます。
  7. ポリシー ストアを監査ログ データベースとして使用するため手順 3 と 4 を繰り返します。以下のスキーマ ファイルを使用します。
    sm_postgresql_logs.sql
    注:
    ほかのデータを格納するためにポリシー ストアを設定する必要はありません。別の監査ログ データベース、キー ストア、セッション ストアとして機能するよう個別のデータベースを設定することができます。 
    データベースにデータを格納できます。
Windows での PostgreSQL データ ソースの作成
ODBC は、SQL Server ワイヤ プロトコル用にデータ ソースを設定することが必要です。
以下の手順に従います。
  1. [スタート]をクリックし、[プログラム]-[管理ツール]に移動します。
  2. [ODBC Data Sources (64-bit)]を選択します。
    [ODBC データ ソース管理者]ダイアログ ボックスを開きます。
  3. [システム DSN]タブをクリックして、[追加]をクリックします。
  4. PostgreSQL Server Wire Protocol を選択し、[完了]をクリックします。
  5. [データ ソース名]フィールドにデータ ソース名を入力します。
    例:
    SiteMinder Data Source
    注:
    指定したデータ ソース名を書き留めます。この情報は、ポリシー ストアとしてデータベースを設定するときに必要です。
  6. [サーバ]フィールドに PostgreSQL ホスト システムの名前を入力します。
  7. [データベース名]フィールドにデータベース名を入力します。
  8. [テスト]をクリックします。
    接続設定がテストされ、接続に成功したことを示すメッセージが表示されます。
  9. [OK]をクリックします。
    PostgreSQL データ ソースが設定され、[システム データ ソース]リストに表示されます。
UNIX での PostgreSQL データ ソースの作成
ODBC データ ソースは、system_odbc.ini ファイルを使用して設定します。このファイルは、
policy_server_installation
/db にある postgresqlwire.ini の名前を system_odbc.ini に変更することによって作成します。この system_odbc.ini ファイルには、使用可能な ODBC データ ソースの名前すべてと、それらのデータ ソースと関連付けられた属性が含まれています。このファイルは、サイトごとに機能するようカスタマイズする必要があります。また、このファイルにはデータ ソースを追加できます。たとえば、追加の ODBC ユーザ ディレクトリを定義できます。
system_odbc.ini ファイルの最初のセクション [ODBC Data Sources] には、現在使用可能なデータ ソースすべてのリストが含まれています。「=」の前の名前は、個別のデータ ソースそれぞれを説明する、ファイルの後続のセクションを示しています。「=」の後には、コメント フィールドがあります。
注:
データ ソース エントリの最初の行である[SiteMinder Data Source]を変更する場合、変更内容を書き留めておきます。この値は、ODBC データベースをポリシー ストアとして設定するときに使用します。
system_odbc.ini ファイル内には、各データ ソースの属性を記述するセクションがあります。最初の属性は、このデータ ソースがポリシー サーバで使用されるときにロードされる ODBC ドライバです。残りの属性は、そのドライバに固有です。
PostgreSQL サーバ データ ソースを追加する場合は、ファイルの [ODBC Data Sources] セクションに新しいデータ ソース名を追加すること、データ ソースと同じ名前を使用して、データ ソースを記述するセクションを追加することが必要になります。新しいサービス名を作成したり、別のドライバを使用する場合は、system_odbc.ini ファイルを変更する必要があります。[SiteMinder Data Source] の下に Oracle または SQL ドライバのエントリがあります。
PostgreSQL Server ワイヤ プロトコル ドライバの設定
ワイヤ プロトコル ドライバを設定し、データベースに接続するために
Single Sign-On
が使用する設定を指定します。
注: この手順は、ポリシー サーバが UNIX システムにインストールされる場合にのみ、適用されます。以下のいずれかのファイルをコピーし、名前を「system_odbc.ini」に変更します(まだ行っていない場合)。名前を変更するファイルは、データ ストアとして設定しているデータベース ベンダーによって異なります。
  • sqlserverwire.ini
  • oraclewire.ini
  • mysqlwire.ini
  • postgresqlwire.ini
  • db2wire.ini
これらのファイルは siteminder_home/db にあります。
system_odbc.ini ファイルは、以下のセクションで構成されています。設定しているデータ ソースにより、編集するセクションが決定されます。
  • [SiteMinder Data Source]
    設定を指定して、ポリシー ストアとして機能するデータベースに接続します。
  • [SiteMinder Logs Data Source]
    設定を指定して、監査ログ データベースとして機能するデータベースに接続します。
  • [SiteMinder Keys Data Source]
    設定を指定して、キー ストアとして機能するデータベースに接続します。
  • [SiteMinder Session Data Source]
    設定を指定して、セッション ストアとして機能するデータベースに接続します。
  • [SmSampleUsers Data Source]
    設定を指定して、サンプル ユーザ データ ストアとして機能するデータベースに接続します。
以下の手順に従います。
  1. system_odbc.ini ファイルを開きます。
  2. [ODBC Data Sources] の下に、以下を入力します。
    SiteMinder Data Source=DataDirect 8.0 PostgreSQL Server Wire Protocol
  3. 設定するデータ ソースに応じて、以下の情報を使用して 1 つ以上のデータ ソース セクションを編集します。
    Driver=nete_ps_root/odbc/lib/NSpsql28.so
    Description=DataDirect 8.0 PostgreSQL Driver
    HostName=nete_servername
    PortNumber=5432
    Database=
    SiteMinder Data
    CatalogOptions=0
    ProcedureRetResults=0
    EnableDescribeParam=0
    EnableStaticCursorsForLongData=0
    ApplicationUsingThreads=1
    DMCleanup=2
    注:
    データ ソース情報を編集する場合は、ポンド記号(#)を使用しないでください。ポンド記号(#)を入力すると、その情報はコメント化され、値が切り捨てられます。値が切り捨てられると、ODBC 接続に失敗する場合があります。
    • nete_ps_root
      環境変数を持ったパスではなく、ポリシー サーバ インストールの明確なパスを指定します。
      例:
      export/smuser/siteminder
    • SiteMinder データ
      PostgreSQL Server データベースのインスタンス名を指定します。
  4. 以下のように[ODBC]セクションを編集します。
    TraceFile=
    nete_ps_root
    /db/odbctrace.out
    TraceDll=
    nete_ps_root
    /odbc/lib/NStrc27.so
    InstallDir=
    nete_ps_root
    /odbc
    • nete_ps_root
      ポリシー サーバ インストール ディレクトリに明確なパスを指定します。このパスには環境変数を含めることができません。
  5. ファイルを保存します。
ワイヤ プロトコル ドライバが設定されます。
ポリシー サーバに対する参照データベースの指定
ポリシー サーバがポリシー ストア内のデータにアクセスできるように、ポリシー サーバがデータベースを参照するようにします。
以下の手順に従います。
  1. ポリシー サーバ管理コンソールを開き、[データ]タブをクリックします。
  2. ストレージ リストから以下の値を選択します。
    ODBC
  3. データベース リストから以下の値を選択します。
    Policy Store
  4. [データ ソース情報]フィールドにデータ ソースの名前を入力します。
    • (Windows)このエントリは、データ ソースを作成したときに[データ ソース名]フィールドに入力した名前と一致する必要があります。
    • (UNIX)このエントリは、system_odbc.ini ファイルのデータ ソース エントリの最初の行と一致している必要があります。デフォルトでは、このファイルの最初の行は[
      Single Sign-On
      データ ソース]です。最初のエントリを変更した場合は、正しい値を入力していることを確認します。
  5. それぞれのフィールド内にデータベース インスタンスへのフル アクセス権限を持つデータベース アカウントのユーザ名およびパスワードを入力し確認します。
  6. Single Sign-On
    に割り当てるデータベース接続の最大数を指定します。
    注:
    最適なパフォーマンスを得るためにデフォルトの 25 の接続を保持することをお勧めします。 
  7. [適用]をクリックして設定を保存します。
  8. データベース リストから以下の値を選択します。
    Key Store
  9. ストレージ リストから以下の値を選択します。
    ODBC
  10. 以下のオプションを選択します。
    Use the Policy Store database
  11. データベース リストから以下の値を選択します。
    Audit Logs
  12. ストレージ リストから以下の値を選択します。
    ODBC
  13. 以下のオプションを選択します。
    Use the Policy Store database
  14. [適用]をクリックして設定を保存します。
  15. (オプション)[接続のテスト]をクリックしてポリシー サーバがポリシー ストアにアクセスできることを確認します。
  16. [OK]をクリックします。
    ポリシー サーバは、ポリシー ストア、キー ストア、およびログ データベースとしてそのデータベースを使用するように設定されます。
スーパーユーザ パスワードの設定
デフォルトの管理者アカウントの名前は
siteminder です。
このアカウントは最大の権限を持っています。
デフォルトのスーパーユーザを日常的な作業に使用しないでください。デフォルトのスーパーユーザは、以下の場合に使用してください。
  • 初めて管理 UI にアクセスする場合。
  • Single Sign-On
    ユーティリティの管理を初めて行うとき。
  • スーパーユーザ権限で別の管理者を作成する場合。
以下の手順に従います。
  1. smreg ユーティリティを
    siteminder_home
    \bin にコピーします。
    • siteminder_home
      ポリシー サーバのインストール パスを指定します。
      注:
      このユーティリティは、ポリシー サーバ インストール キットの最上位レベルにあります。
  2. 以下のコマンドを実行します。
    smreg -su 
    password
    • パスワード
      デフォルトの管理者のパスワードを指定します。
    パスワードには、以下の要件があります。
    • パスワードは 6 文字以上、24 文字以下である必要があります。
    • パスワードには、アンパサンド(&)またはアスタリスク(*)を含むことはできません。
    • パスワードにスペースが含まれている場合は、引用符でパスフレーズを囲みます。
      注:
      Oracle ポリシー ストアを設定している場合、パスワードの大文字と小文字が区別されます。他のすべてのポリシー ストアの場合は、パスワードの大文字と小文字を区別しません。 
  3. siteminder_home
    \bin から smreg を削除します。smreg を削除すると、既存のパスワードを把握していない限り、パスワードを変更することはできなくなります。
デフォルトの管理者アカウントのパスワードが設定されます。
ポリシー ストア データ定義のインポート
ポリシー ストア データ定義をインポートすると、ポリシー ストアで作成および格納できるオブジェクトのタイプが定義されます。
以下の手順に従います。
  1. コマンド ウィンドウを開き、
    siteminder_home
    \xps\dd に移動します。
    • siteminder_home
      ポリシー サーバのインストール パスを指定します。
  2. 以下のコマンドを実行します。
    XPSDDInstall SmMaster.xdd
    • XPSDDInstall
      必要なデータ定義をインポートします。
デフォルトのポリシー ストア オブジェクトのインポート
デフォルトのポリシー ストア オブジェクトをインポートすると、管理 UI とポリシー サーバで使用するポリシー ストアが設定されます。
以下の点を考慮します。
  • 必ず
    siteminder_home
    \bin への書き込みアクセス権があることを確認してください。インポート ユーティリティは、ポリシー ストア オブジェクトをインポートするためにこの権限を必要とします。
    • siteminder_home
      ポリシー サーバのインストール パスを指定します。
  • Windows ユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。
以下の手順に従います。
  1. コマンド ウィンドウを開き、
    siteminder_home
    \db に移動します。
  2. 以下のいずれかのファイルをインポートします。
    • smpolicy.xml をインポートするには、以下のコマンドを実行します。
      XPSImport smpolicy.xml -npass
    • smpolicy-secure.xml をインポートするには、以下のコマンドを実行します。
      XPSImport smpolicy - secure.xml -npass
      • npass
        パスフレーズが必要ではないことを指定します。デフォルト ポリシー ストア オブジェクトには暗号化されたデータが含まれていません。
         
      両方のファイルに、デフォルトのポリシー ストア オブジェクトが含まれています。これらのオブジェクトにはデフォルトのエージェント設定オブジェクト(ACO)テンプレート内のデフォルト セキュリティ設定が含まれます。smpolicy–secure ファイルはより制限の厳しいセキュリティ設定を提供します。詳細については、「デフォルトのポリシー ストア オブジェクトの考慮事項」を参照してください。
       
    • Option Pack 機能をインポートするには、以下のコマンドを実行します。
      XPSImport ampolicy.xml -npass
    • フェデレーション機能をインポートするには、以下のコマンドを実行します。
      XPSImport fedpolicy-12.5.xml -npass
    ベース ポリシー ストア オブジェクトがインポートされます。
    注:
    smpolicy.xml をインポートすると、フェデレーションおよび Web サービス変数の機能が使用可能になります。 
ポリシー サーバの再起動
特定の設定を有効にするために、ポリシー サーバを再起動します。
以下の手順に従います。
  1. ポリシー サーバ管理コンソールを開きます。
  2. [ステータス]タブをクリックし、[ポリシー サーバ]グループ ボックスで[停止]をクリックします。
    赤色の信号アイコンが表示されて、ポリシー サーバが停止します。
  3. [開始]をクリックします。
    緑色の信号アイコンが表示されて、ポリシー サーバが起動します。
    注:
    UNIX では、ポリシー サーバを再起動する stop-ps および start-ps コマンドを実行します。ポリシー サーバと CA Risk Authentication を再起動するには、stop-all および start-all コマンドを実行します。
管理 UI 登録の準備
管理 UI に初めてログインするときは、以前のバージョンからのアップグレード用のデフォルトのスーパーユーザ アカウント(siteminder)を使用します。初めてログインするときは、管理 UI をポリシー サーバに登録する必要があります。これで、両方のコンポーネントの間に信頼関係が作成されます。
XPSRegClient ユーティリティを使用してスーパーユーザ アカウントの名前とパスワードを指定して、登録の準備をします。ポリシー サーバは、これらの認証情報を使用して、登録要求が有効であること、および信頼関係を確立できることを検証します。
以下の点を考慮します。
  • 認証情報を指定してから最初の管理 UI ログインまでの時間は、24 時間に制限されています。24 時間以内に管理 UI をインストールする予定がない場合は、管理 UI をインストールする前に以下の手順を実行します。
  • (UNIX) XPSRegClient を使用する前に、
    Single Sign-On
    環境変数が設定されていることを確認してください。環境変数が設定されていない場合は、手動で設定します。
以下の手順に従います。
  1. ポリシー サーバ ホスト システムにログインします。
  2. 以下のコマンドを実行します。
    XPSRegClient super_user_account_name[:
    passphrase
    ] -adminui-setup -t timeout -r retries -c comment -cp -l log_path -e error_path -vT -vI -vW -vE -vF
    • passphrase
      デフォルトのスーパーユーザ アカウント(siteminder)のパスワードを指定します。
      注:
      パスフレーズを指定しないと、XPSRegClient により、パスフレーズの入力とその確認を求めるプロンプトが表示されます。 
    • -adminui - setup
      管理 UI がポリシー サーバに初めて登録されることを指定します。
    • -t
      timeout
      (任意)管理 UI をインストールしてから、ログインしてポリシー サーバとの信頼関係を作成するまでの割り当て時間を指定します。タイムアウト値を超過すると、ポリシー サーバは登録リクエストを拒否します。
      測定単位
      : 分
      デフォルト:
      240(4 時間)
      最小:
      15
      最大値:
      1440 (24 時間)
    • -r
      retries
      (任意)管理 UI の登録時に許容される試行の失敗回数を指定します。試行が失敗する原因としては、管理 UI への最初のログイン時に指定する管理者の認証情報の誤りが考えられます。
      デフォルト:
      1
      最大:
      5
    • -c
      comment
      (任意)指定されたコメントを情報目的で登録ログ ファイルに挿入します。
      注:
      コメントは引用符で囲んでください。 
    • -cp
      (任意)登録ログ ファイルに複数行のコメントが含まれることを指定します。ユーティリティにより複数行のコメントが求められ、指定されたコメントが情報目的で登録ログ ファイルに挿入されます。
      注:
      コメントは引用符で囲んでください。 
    • -l
      log path
      (任意)登録ログ ファイルをエクスポートする場所を指定します。
      デフォルト:
      siteminder_home
      \log
      siteminder_home
      ポリシー サーバのインストール パスを指定します。
    • -e
      error_path
      (任意)例外を指定されたパスに送信します。
      デフォルト
      : stderr
    • -vT
      (任意)詳細レベルを TRACE に設定します。
    • -vI
      (任意)詳細レベルを INFO に設定します。
    • -vW
      (任意)詳細レベルを WARNING に設定します。
    • -vE
      (任意)詳細レベルを ERROR に設定します。
    • -vF
      (任意)詳細レベルを FATAL に設定します。
  3. Enter キーを押します。
    XPSRegClient は、ポリシー サーバに管理者認証情報を提供します。ポリシー サーバは、管理 UI への最初のログイン時に、登録リクエストを確認するためにこれらの認証情報を使用します。